심각한 취약점을 발견했어도 이를 묵인해야 하는가? ‘갑론을박’


[보안뉴스 호애진] 한 보안 전문가가 자신이 알아낸 취약점을 선의의 목적으로 기업에 알려줬다가 경찰 수사를 받게 됐다. 수사가 진행되는 과정서 해당 기업은 도리어 취약점을 수정하느라 발생한 비용을 지불하라고 한 것으로 알려졌다.


호주 보안 전문가인 패트릭 웹스터(Patrick Webster)는 퇴직연금 기금인 FSS(First State Superannuation)의 웹 취약점을 우연히 발견하고 이 사실을 알려줬으나 FSS는 그를 경찰에 신고했다. 이 취약점은 수백만명의 FSS 고객 정보가 유출될 수 있는 심각한 위협이었다.


FSS는 웹스터를 경찰에 신고한 후 그의 컴퓨터에 자사의 IT 직원이 액세스할 수 있게 하라는 요구와 함께 취약점을 수정하는데 발생한 비용을 지불하라고 경고했다.


FSS의 기금 운용사인 필라(Pillar)는 그가 선의의 목적으로 취약점을 알려준 것은 인정하지만 다른 고객 정보에 액세스한 행위는 NSW 컴퓨터 범죄법(the NSW Computer Crimes Act)을 위반한 것이라고 강조했다.


지난달 말, FSS의 고객인 웹스터는 이메일로 수신된 명세서에서 직접 객체 참조(direct object reference) 취약점을 발견했다. 그가 자신의 명세서에 액세스하는데 사용되는 URL의 수치값을 1자리 올렸더니 과거 자신의 동료였던 사람의 계정으로의 액세스가 가능했다. 이 계정에는 이름, 주소, 생년월일, 금융 결제 내역 등의 정보가 포함돼 있었다.


몇 시간 후 웹스터는 그 동료에게 이 사실을 알리는 한편 필라의 직원인 아담 쟈렛(Adam Jarrett)에게도 연락해 이 취약점을 알리면서 다른 계정에 액세스하거나 고객정보를 보유하고 있지는 않다고 설명했다. 웹스터에 따르면 필라는 취약점을 알려준 것에 대해 감사하다고 말했고 24시간 내에 취약점을 해결했다.


그러나 필라는 의외로 법적 조치를 취하기 시작했다. NSW 컴퓨터 범죄법 위반으로 웹스터를 경찰에 신고했으며, 이에 그는 경찰의 심문을 받기에 이르렀다.


법률회사 민터엘리슨의 매지드 거기스(Maged Girgis)의 서명이 있는 서한에는 “귀하의 행위의 심각성을 감안해 NSW 경찰에 신고를 했음을 알린다. 귀하는 자신의 행위가 필라의 시스템에 범법자들이 무단 침입할 수 있음을 보여주기 위한 것이라고 말하지만 귀하의 행위 자체가 1900년의 범죄법(the Crimes Act 1900 (NSW)) 조항 308H와 조항 478의 위반에 해당한다. 아울러 귀하의 무단 액세스는 필라 약관의 위반에도 해당하며 해당 문제를 처리하느라 회사의 비용이 소모됐기 때문에 우리는 약관에 준해 발생한 비용에 대해 귀하로부터 보상 받을 권리가 있다”고 쓰여 있었다. 


FSS는 웹스터에게 무단 액세스를 가능케 한 모든 정보를 삭제하는 한편 데이터가 폐기됐는지의 여부를 검증하라고 요청하고 웹스터의 FSS 계정을 중단시켰다.


이 사실이 알려지면서 보안 전문가들 사이에서 논란이 끊이지 않고 있다. 기업 내 심각한 취약점이 있는 것을 알게 된다면 과연 이를 묵인해야 하는지에 대해 갑론을박이 계속되고 있다. 현재 이를 보도한 몇몇 외신 사이트에는 다양한 의견이 담긴 댓글이 올라오고 있다.

[호애진 기자(boan5@boannews.com)]

 

- 보안뉴스에서는 선의의 목적으로 기업에 취약점을 알려줬다가 피해를 입으신 보안 전문가분 또는 이와 같은 경우를 알고 계신 분들의 제보를 받습니다 -

보안뉴스: 전화 (02) 719-6931

              이메일 boan5@boannews.com

+ Recent posts